金眼狗APT后门处置

admin 2024年12月6日17:17:03评论20 views字数 762阅读2分32秒阅读模式

本文作者:雁过留痕@深信服MSS专家部

一、组织介绍

金眼狗是一个针对在东南亚从事博彩、狗推相关人员以及海外华人群体的APT团伙,其业务范围涵盖远控、挖矿、DDoS攻击等,主要通过在社交群组中进行分享传播,病毒采用白加黑的形式,通过正常的白程序调用恶意的dll文件执行。

IOC:

27.124.10.6

154.213.31.4

e.nkking.com

二、病毒分析过程

注:采用病毒查杀常规思路,其他病毒也可使用该方法排查。

1、平台生成访问金眼狗恶意域名:e.nkking.com

金眼狗APT后门处置

2、使用SfabAntiBot或MereorySearch在内存中检索金眼狗家族通信域名:e.nkking.com,可以检索到异常进程:E277E4BF.exe,进程对应程序路径在C:users当前用户Videos下。

金眼狗APT后门处置
金眼狗APT后门处置
金眼狗APT后门处置

3、根据检索出的进程,使用systeminformer查看进程属性,可以看到是名为Windows Eventn服务拉起的进程。

金眼狗APT后门处置

4、网络连接中可以看到进程存在外联:27.124.10.6、154.213.31.4。

金眼狗APT后门处置

5、使用autoruns可以在服务中可以看到名为Windows Eventn的服务,对应的启动路径正是病毒的程序。

金眼狗APT后门处置

三、病毒处置

1、使用autoruns删除对应服务:Windows Eventn。

金眼狗APT后门处置

2、使用systeminformer终止对应进程。

金眼狗APT后门处置

3、删除对应的程序。

金眼狗APT后门处置

4、重启未再外联。

金眼狗APT后门处置

MereorySearch工具下载:https://github.com/Fheidt12/Windows_Memory_Search

其余排查工具,关注微信公众号:安服仔的救赎,发送:“金眼狗”获取。

金眼狗APT后门处置

‍往期精彩内容推荐:

蓝队防守:如何判断安全告警的正误报?

以点破面-探究勒索病毒常见攻击手法

原文始发于微信公众号(安服仔的救赎):金眼狗APT后门处置

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月6日17:17:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   金眼狗APT后门处置http://cn-sec.com/archives/3476180.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息